A primeira coisa que esperamos ao entrar em um site da internet é que ele seja seguro, certo? Para isso, os navegadores de hoje em dia conseguem identificar se um site é confiável ou não e nos alertar sobre qualquer perigo através do certificado SSL.

Dessa forma, iremos mostrar para você tudo sobre o SSL e como exatamente ele funciona. Nos acompanhe nesta jornada:

Vamos lá?

O que é SSL?

SSL significa Secure Sockets Layer (Camada de soquete seguro, em português). Serve como um protocolo para autorizar e criptografar as informações que são compartilhadas entre cliente e o servidor de um site.

Hoje em dia utilizamos o protocolo TLS, Transport Layer Security (Segurança da Camada de Transporte, em português) na versão 1.2, ele é basicamente uma evolução do SSL e utiliza os mesmos princípios.

Como funciona e para que serve um certificado SSL?

Os certificados SSL/TLS funcionam na comunicação de uma chave pública e privada, contando também com a geração de uma chave aleatória por navegação da pessoa usuária no site. Essa autorização sempre é iniciada quando clientes acessam uma página segura.

Um dos passos importantes no desenvolvimento de um site é a sua hospedagem. Além da contratação de um servidor e um domínio, precisamos registrar um certificado que mostra que nosso site é realmente seguro.

Com essa criptografia, impedimos que hackers tenham acesso às informações que são transferidas entre o navegador e o servidor, tais como informações bancárias, documentos, senhas ou qualquer coisa do gênero.

A execução da autorização do certificado é realizado da seguinte maneira:

  1. Em nosso navegador acessamos uma página que contém o certificado SSL.
  2. O navegador solicita a identificação deste site.
  3. Ele responde enviando o seu certificado SSL.
  4. Com isso, o navegador verifica se o certificado pode ser utilizado por esta página. Caso seja, é enviado a informação para o site.
  5. Desta forma, o site retorna com a chave aleatória que será utilizada nesta sessão.
  6. Por fim, temos o compartilhamento das informações de maneira criptografada e segura.

Este processo é comumente chamado de handshake SSL e a sua duração é de poucos milissegundos.

Como saber se um site tem certificado SSL?

Para saber se um site tem certificado SSL, temos que verificar se o site possui HTTPS na barra de pesquisa. Caso possua apenas HTTP, significa que ele não é um site confiável.

Esta é a forma mais simples de visualizar se o site possui o certificado SSL e é mantido como padrão em todos os navegadores modernos.

Além do mais, é possível verificar mais informações sobre o certificado do site. Basta que você clique no cadeado que fica no lado esquerdo da barra de pesquisa. O resultado deverá ser algo assim:

Exemplo de aviso fornecido pelo navegador de que o site que estou visitando é seguro e possui certificado SSL válido

Como saber se estou acessando um site seguro?

Além dos certificados digitais, devemos nos atentar a outros aspectos ao navegar por alguns sites, principalmente quando estamos realizando algum tipo de compra ou transmitindo as nossas informações pessoais. Veja:

1. Verifique o tipo de certificado do site

Se você estiver acessando um site de e-commerce, verifique se o mesmo está utilizando o certificado SSL EV ou o certificado SSL OV. Esses dois tipos de certificados contém informações da companhia e são relativamente mais confiáveis que os outros tipos.

No certificado SSL EV, temos a informação da empresa já na própria barra de endereço, e o certificado SSL OV tem a informação no seu detalhe. Mesmo que os outros certificados sejam válidos pelo navegador, não é recomendável realizar nenhuma operação neste tipo de site.

2. Verifique a existência de uma Política de Privacidade no site

Para um site funcionar legalmente é preciso que ele tenha as suas políticas de privacidade que mostrem onde serão utilizadas as suas informações pessoais. Esse critério tem ficado cada vez mais rígido principalmente pela criação da LGPD.

3. Cheque os indicadores de confiança e segurança do site

Além de checar o certificado SSL do site, podemos verificar as suas informações adicionais, como logotipos de empresas que comprovam a segurança, telefone e até mesmo o endereço físico da loja.

Não podemos nos deixar enganar pelos preços e ofertas realmente incríveis! É aconselhável também procurar por reclamações ou informações da loja nas redes sociais ou Google.

4. Cuidado com o phishing

Phishing é um técnica onde o invasor recria um site falso com o mesmo layout de um site famoso, adiciona um domínio muito similar e até mesmo um certificado SSL. No fim, o site serve como uma casca para coletar informações de pessoas usuárias através da aparência segura, porém com o sistema todo comprometido.

Por que usar um certificado SSL no seu site? 4 motivos!

1. Confiabilidade

O certificado SSL, mesmo não conhecido pela maioria dos usuários, é um indicativo de que o site é seguro. Isso ocorre pela exibição do HTTPS, o cadeado ao lado da barra de endereço, a cor verde que demonstra a segurança, e até alguns selos que transparecem isso.

2. Pagamento digital

Ao realizarmos um pagamento em um site com o certificado SSL, temos a certeza que essas informações são transmitidas apenas para o servidor de origem do site que estamos navegando. Hoje em dia, se o site não possuir o SSL instalado, não será possível realizar pagamentos por meio de cartão de crédito.

3. Melhor ranqueamento no Google

Além de outros fatores, o certificado SSL é um dos pontos para um melhor ranqueamento nos motores de busca do Google. Por isso deve ser instalado desde o primeiro dia de subida do site.

4. Comunicação entre sites

Ferramentas de monitoramento de dados como o Google Analytics não funcionam muito bem na comunicação de dois sites onde um tem o certificado SSL e outro não. Isso se dá pelo fato de que os navegadores não permitem o acesso direto entre os dois meios.

Quais os 6 principais tipos de certificados SSL?

Existem vários tipos de certificados para diversos modelos de negócio, escolha o que faz mais sentido para você:

1. Certificados de validação estendida (SSL EV)

Demonstração de como o certificado de validação estendida (SSL EV) é exibido para as pessoas usuárias

Esse certificado é o mais caro e de maior nível entre os disponíveis no mercado. É usado principalmente em empresas grandes que desejam mostrar a segurança de uma maneira diferente para as pesosas usuárias, já que além do cadeado e https, é mostrado também o nome da empresa que gerencia o site.

A ideia aqui é destacar o site como sendo verdadeiro ao contrário de falsos sites que podem ter o certificado SSL só que de menor grau. Além disso, para solicitar este tipo de certificado, é necessário confirmar a identidade para autorização dos direitos do domínio.

2. Certificados de validação de empresa (SSL OV)

Demonstração de como o certificado de validação de empresa (SSL OV) é exibido para as pessoas usuárias

O certificado SSL OV é parecido com o SSL EV, porém o nome da empresa só é exibido nos detalhes do certificado. Por isso, o preço desse certificado tende a ser um pouco mais baixo. É usado principalmente em sites grandes ou de comércio.

3. Certificados de validação de domínio (SSL DV)

Demonstração de como o certificado de validação de domínio (SSL DV) é exibido para as pessoas usuárias

É o certificado com o tipo de criptografia mais baixo que tem. Por isso é mais utilizado em sites informativos que não fazem transações de informações importantes. Também tem o menor preço e é mais simples de contratar.

4. Certificados SSL curinga

O certificado SSL curinga serve para autorizar diversos sites que estejam no mesmo subdomínio. Ou seja, podemos contratar um certificado SSL EV ou SSL OV e cadastrá-lo para um número ilimitado de subdomínios. A forma de indicar que o certificado é curinga é escrevendo *.subdominio.com.

5. Certificados SSL de vários domínios (MDC)

É um tipo de certificado que pode ser usado para autorizar diversos domínios e/ou subdomínios, podendo chegar até o número de 100 registros. É mais utilizado por grandes companhias que possuem diversos tipos de sites, pois neste caso podemos ter um mesmo certificado EV para todos. 

6. Certificados de domínio único (UCC)

Neste certificado, a sua utilização primária era apenas nas aplicações da Microsoft Exchange e Microsoft Live Communications Server, posteriormente foi liberado para que qualquer pessoa possa utilizá-lo.

Também é utilizado para proteger diversos domínios com apenas um certificado, fora isso, é muito similar ao certificado EV.

Quais as diferenças entre TLS e SSL?

O fundamento da conexão dos dois protocolos é a mesma, no entanto o processo de handshake realizado pelo SSL era feito explicitamente em uma porta. Atualmente, o TLS é conectado implicitamente por um protocolo.

Desta maneira, os códigos de criptografia são bem diferentes, mas com o princípio também parecido. No SSL, usávamos o MAC (Message Authentication Code, em português, Código de autenticação de mensagem). Atualmente, no TLS, usamos a sua versão aprimorada, HMAC (Hashing for Message Authentication Code, em português, Hash para código de autenticação de mensagem).

Em ambos os modelos, cada versão do seu protocolo vem com um código de criptografia mais aprimorado, sendo que atualmente a versão 1.2 do TLS é a mais utilizada e segura. Do outro lado, as três versões do SSL (1.0, 2.0 e 3.0) tem um tipo de vulnerabilidade descoberta e não é recomendável a sua utilização.

O que é o HTTPS?

É um protocolo de rede que é utilizado em conjunto com o certificado digital para garantir a criptografia das informações entre o navegador do cliente até o servidor do site. Aqui temos a garantia que apenas quem envia e recebe tem os dados, e é impossível interceptar essa operação.

O https utiliza a chave pública e privada do certificado para gerar uma chave de sessão aleatória e limitada a aquela operação, desta forma, inviabiliza qualquer tipo de ataque.

O SSL causa impacto no SEO?

Sim, o SSL impacta o SEO de um site, isso é, se você não tiver um certificado instalado em seu site, o algoritmo do Google não terá bons olhos para ele.

Além disso, precisamos lembrar que os navegadores modernos verificam a integridade dos sites e avisam para os seus usuários os riscos que eles podem estar se comprometendo. Desta maneira, a rejeição do seu site pode impactar negativamente os mecanismos de buscas da internet.

Como comprar e instalar um certificado SSL?

Existem algumas formas de obtermos o nosso certificado SSL, sendo a mais fácil através do próprio site que vendeu o registro do domínio

Por baixo dos panos, a CA (certificate authority, em português, autoridade de certificação) realiza esta tarefa de emitir o certificado. O seu custo pode variar muito dependendo de qual o modelo do seu site.

Para sites informativos, como blogs, o certificado custa poucos dólares. Já para sites de vendas que necessitam de um nível elevado de criptografia, o valor pode chegar até os cem dólares.

O processo para adquirir um certificado digital pode ser resumido nas seguintes etapas:

  • Configurar e checar se as informações do seu domínio estão corretas;
  • Realizar uma solicitação de assinatura de certificado através da empresa que hospeda o seu site;
  • Aguardar que a autoridade de certificação verifique as informações do seu domínio e empresa;
  • Instalar o certificado no site.

A configuração de instalação deve ser feita ou no host ou no provedor do site.

Qual é a validade de um certificado digital?

Atualmente, a validade de um certificado digital é de 397 dias, ou 13 meses.

Anteriormente, o valor era de 3 ou 2 anos, porém em 2020 as empresas Google e Apple decidiram diminuir o tempo de validade dos certificados SSL no consórcio do CA/Browser Forum, alegando que um tempo tão grande de validade não seria nada seguro.

De um ponto de vista técnico, o baixo período de validade é benéfico principalmente para atualizações de algoritmos que podem ocorrer nos protocolos TLS.

O meu certificado digital expirou! Como renovar?

Como comentamos, todos os certificados digitais possuem um prazo de validade. Para sua renovação, precisamos adquirir novamente um outro certificado digital para instalarmos em nosso site.

Este processo pode ser demorado e causar danos na operação do site, por isso é recomendado realizá-lo com uma certa antecedência. Em outros casos também é possível deixar que a empresa do seu domínio cuide disso, desta forma você não precisa se preocupar em sempre renovar o certificado digital.

Conclusão

O SSL e o TLS são protocolos de autorização e criptografia para assegurar que a comunicação entre cliente e servidor seja transmitida de forma que nenhum terceiro tenha acesso às informações enviadas.

Por tanto, o certificado SSL ou certificado digital é a maneira na qual o dono do site tem de assegurar que o seu site é seguro, a partir disso, o cadeado e o https são exibidos na barra de endereço do site para transmitir confiabilidade ao usuário final. 

Existem vários tipos de certificados, para sites que trafegam dados sensíveis é recomendado utilizar um certificado de validade estendida, onde a criptografia é mais forte. Em sites menores é recomendado utilizar o certificado de validação de domínio básico. 

Ficou interessado no assunto? Então leia mais sobre a Segurança da informação: o que é e os 5 principais pilares!

0 Shares:
Você também pode gostar